Diferența HIPAA: Cum Braze susține implicarea atentă în timp ce protejează informațiile de sănătate protejate

Publicat: 2020-02-21

Consumatorii de astăzi cer experiențe relevante ale mărcii. Pentru a construi relații puternice, mărcile trebuie să se asigure că comunică într-un mod care se adresează fiecărui client ca individ – și asta este adevărat, indiferent dacă acel brand este un retailer sau în domeniul sănătății. Dar există o captură: deși datele sunt o parte esențială a acestor experiențe personalizate, este și un subiect care poate fi foarte sensibil atât pentru consumatori, cât și pentru autoritățile de reglementare. Nu puteți evita nevoia de date ca agent de marketing astăzi, dar nici nu vă puteți permite să le tratați cu ușurință sau să nu protejați și să protejați informațiile care au fost încredințate mărcii dvs.

Toate acestea sunt valabile mai ales când vine vorba de date legate de sănătate. Pe măsură ce serviciile digitale oferite de mărcile de sănătate și fitness continuă să se extindă, nevoia de a găsi modalități de a folosi și de a proteja datele sensibile legate de sănătate a devenit din ce în ce mai clară. În timp ce capacitatea de a oferi valoare și comoditate rapid prin experiențele de brand poate îmbunătăți în mod concret viața oamenilor, în special într-un spațiu cunoscut pentru timpii lungi de așteptare, este important să protejați datele care informează acele experiențe fără compromisuri.

Pentru a face acest lucru posibil pentru mărcile legate de sănătate, Braze a prioritizat atingerea și menținerea conformității HIPAA pentru platforma noastră. Să aruncăm o privire la de ce contează, cum am realizat asta și ce înseamnă pentru marketeri.

Ce este HIPAA?

Guvernul SUA a adoptat Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) în 1996 pentru a implementa reguli care să asigure că organizațiile cu acces digital la informațiile de sănătate ale clienților protejează aceste informații extrem de confidențiale. Aceste date, cunoscute sub numele de Informații de sănătate protejate (PHI), includ date medicale tradiționale, cum ar fi fișele de sănătate și rezultatele testelor, precum și puncte de date de identificare individuală legate de dosarele de sănătate ale cuiva, cum ar fi numele pacientului, numărul de cont, imaginile, datele demografice. informații și multe altele.

HIPAA este obligatorie numai pentru „Entitățile acoperite”, care includ:

  • Companiile de asigurări de sănătate (HMO, planuri de sănătate ale companiei, Medicare, Medicaid)
  • Furnizorii de servicii medicale (medici, clinici, specialisti, farmacii)
  • Companii de date de sănătate

Cu toate acestea, aceste organizații nu funcționează în vid. HIPAA permite Entităților Acoperite să dezvăluie PHI altor organizații (cunoscute ca „Asociați de afaceri”) dacă acest lucru este necesar pentru a îndeplini nevoile sau activitățile legate de asistență medicală. Cu toate acestea, acești asociați de afaceri trebuie să se asigure că protejează PHI în cauză, folosindu-l numai în scopurile în care a fost partajat pentru a sprijini, printre alte cerințe, pentru a fi conform HIPAA.

Cum arată conformitatea HIPAA?

În general, toate mărcile care trimit informații digitale de sănătate protejate trebuie să instituie și să urmeze anumite măsuri de securitate fizică, de rețea și de proces pentru a îndeplini conformitatea HIPAA. În plus, pentru ca o companie să fie conformă cu HIPAA, subprocesorii lor (orice terță parte care poate gestiona PHI în numele Entității acoperite) trebuie, în general, să fie, de asemenea, conforme cu HIPAA. Aceasta înseamnă că subprocesorul trebuie să respecte cerințe stricte, inclusiv, dar fără a se limita la, următoarele:

  • Semnează un Acord de Asociat de afaceri (BAA) care afirmă că aderă la regulile de securitate și confidențialitate cerute de HIPAA
  • Efectuați o analiză de risc
  • Auditează și urmărește activitatea hardware și software care procesează PHI
  • Implementați un plan de backup pentru date
  • Instalați dispozitive de protecție fizică pentru a proteja sistemele electronice de informații
  • Implementați politici și proceduri pentru a asigura conformitatea

A deveni conform HIPAA nu este ușor - și nu este o afacere unică. Necesită suport continuu, întreținere și concentrare, mai ales că legea este actualizată în timp.

Conformitatea HIPAA și Braze

Astăzi, confidențialitatea și securitatea datelor sunt esențiale atât pentru mărci, cât și pentru consumatori. Pentru a ne asigura că clienții Braze (și clienții lor) pot gestiona PHI într-un mod sigur și securizat pentru a sprijini experiențe semnificative și relevante, am făcut din conformitatea HIPAA - și confidențialitatea și securitatea datelor în general - o prioritate majoră pentru compania noastră și produsul nostru. .

La Braze, munca pe care am făcut-o pentru a deveni conform HIPAA a stat la baza abordării noastre actuale de securitate a datelor.

„Prima mare analiză formală a riscurilor pe care am făcut-o a fost pentru HIPAA”, notează Jon Hyman, cofondator și CTO Braze. „Am angajat un avocat care studiază HIPAA și am lucrat cu el pentru a ne asigura că facem lucrurile în conformitate cu ceea ce este necesar... [și] am construit literalmente o analiză a riscurilor în care am avut un registru de risc al potențialelor amenințări și vulnerabilități, controalele pe care le avem în locul, probabilitatea problemelor, impactul potențial, cum arată remedierea și modul în care echipa noastră de răspuns la incident va aborda lucrurile.”

Braze a finalizat, de asemenea, lucrări semnificative legate de infrastructură. În primul rând, am creat un cluster separat, axat pe HIPAA, al platformei Braze pentru mărcile care lucrează cu PHI. Cu clusterul Braze HIPAA, „Vă conectați la o adresă URL diferită și, dacă nu vă aflați în mediul non-HIPAA, SDK-urile dvs. ating o adresă URL complet diferită și un set diferit de servere”, spune Hyman. „Bazele de date tale sunt separate. Totul este complet separat. Are reguli diferite pentru firewall. Are propria sa rețea virtuală. Este complet separat de celelalte medii din Braze, ceea ce este frumos din punct de vedere al izolării.”

Braze este mândru că respectă HIPAA, dar nu ne-am oprit aici. Am continuat să repetăm ​​aceste măsuri, depășind ceea ce este cerut de lege. De exemplu, am adăugat măsuri de protecție suplimentare pentru autorizarea în doi factori, lista albă IP pentru tabloul de bord și API-urile noastre, politicile de expirare a parolelor și regulile de complexitate a parolei.

Conformitatea HIPAA înseamnă securitate strictă a informațiilor pentru toți clienții Braze

Dar, deși conformitatea cu HIPAA a fost o activitate majoră pentru Braze, a sfârșit prin a deschide calea pentru tot ce a urmat – de fapt, în 2018, am finalizat cu succes auditul nostru SOC 2 de tip 2 și certificarea ISO 27001, apoi am finalizat un al doilea audit și certificare. în ultimul an.

Standardul SOC 2, care este supravegheat de Institutul American al Contabililor Publici Autorizați (AICPA), stabilește cerințele de conformitate pentru controalele de securitate ale unei anumite companii. Acest audit a asigurat că Braze a stabilit deja politici și proceduri stricte de securitate a informațiilor. În plus, certificarea noastră ISO 27001 afirmă că Braze a efectuat o evaluare cuprinzătoare a riscurilor de securitate și are un Sistem de management al securității informațiilor (ISMS) care respectă standardul global de management al securității informațiilor al Organizației Internaționale pentru Standardizare (ISO).

„Modul în care HIPAA cere ca Braze să funcționeze pentru mărcile care utilizează PHI este modul în care operăm acum în general”, explică Hyman. „De exemplu, garanțiile administrative din HIPAA ne-au impus să facem o analiză de risc, ceea ce am făcut. Dar aceasta este și o cerință pentru ISO 27001, în care trebuie să vă asigurați că sistemul dumneavoastră de management al securității informațiilor este conform cu standarde înalte. Și totul decurge din asta; asigurându-ne că avem controale adecvate, procese eficiente pentru lucruri precum încetarea accesului la angajații care pleacă și un proces de gestionare a datelor sensibile în general.”

Pasii urmatori

Confidențialitatea datelor și securitatea contează – acum mai mult ca niciodată. Cu o platformă dedicată respectării HIPAA, mărcile de sănătate și fitness pot oferi clienților experiențe memorabile și relevante, respectându-le în același timp confidențialitatea.

Pentru a descoperi cum o strategie de comunicare personalizată, conformă cu HIPAA, crește valoarea mărcii dvs., vedeți cum HelpAround crește fidelizarea utilizatorilor aplicației cu Braze.